Desde hace algunos meses la empresa de telecomunicaciones
Entel presenta un fallo de seguridad que afecta al portal web
"Mi Entel", utilizado por sus clientes para acceder a información de su cuenta, revisión del estado del plan de datos, llamadas realizadas, contratación de nuevos servicios, etc. Para ingresar a la sección de "cliente" es necesario ingresar el número de celular, RUT y la clave de cuatro dígitos, sin embargo, explotando esta vulnerabilidad es posible iniciar sesión solo con el número de celular.
Segun los antecedentes recopilados via twitter, este fallo ya está siendo explotado por atacantes robando puntos zona entel a las víctimas. En esta imagen compartida vía twitter se puede ver un usuario con mas de $300.000.- en saldo y con bolsas de navegación de 7GB
La alerta respecto a este fallo de seguridad la dio
@r4c3, luego de verificar la vulnerabilidad y haber realizado las pruebas correspondientes, el detalle es el siguiente.
La URL vulnerable, mediante la cual podíamos iniciar sesión estaba bajo el subdominio
mipcs.entelpcs.com
Al reemplazar las
XXXXXXXX, el sistema nos redireccionaba a
Y nos daba la bienvenida como si nos hubiesemos autenticado con el RUT y con la clave del número XXXXXXXX.
Y podemos acceder al menú completo
Acceder a sus datos personales e incluso poder modificarlos
Conocer el PIN y el PUK
Acceder a información de la cuenta mensual y detalles de sus llamadas y SMS
Y finalmente, lo que a muchos les llamó la atención, el acceso a la sección de "puntos zona entel" permitiendo canjear puntos a nombre de otra persona para obtener saldos de navegación, bolsas de llamadas o mensajes, etc.
Muchos clientes de Entel se quejaron de que en algunas ocasiones sus puntos habían desaparecido o habían sido canjeados sin su autorización, incluso algunos contaban que al llamar al CallCenter recibian respuestas de que la plataforma no tenía ningun problema.
El problema fue reportado y al parecer ya se encuentran solucionando el incidente, ya que la plataforma lleva varias horas "en mantención"
Hasta ahora no existe información oficial por parte de Entel respecto a los usuarios afectados. Según el cache de Google, esta vulnerabilidad existe al menos desde hace 4 meses.
La alerta respecto a este fallo de seguridad la dio @r4c3, luego de verificar la vulnerabilidad y haber realizado las pruebas correspondientes, el detalle es el siguiente.
La URL vulnerable, mediante la cual podíamos iniciar sesión estaba bajo el subdominio mipcs.entelpcs.com
Y finalmente, lo que a muchos les llamó la atención, el acceso a la sección de "puntos zona entel" permitiendo canjear puntos a nombre de otra persona para obtener saldos de navegación, bolsas de llamadas o mensajes, etc.
Muchos clientes de Entel se quejaron de que en algunas ocasiones sus puntos habían desaparecido o habían sido canjeados sin su autorización, incluso algunos contaban que al llamar al CallCenter recibian respuestas de que la plataforma no tenía ningun problema.
El problema fue reportado y al parecer ya se encuentran solucionando el incidente, ya que la plataforma lleva varias horas "en mantención"
no falta el wn que quiere que aprovecharse y exige compensación por nada